インターネットでサービスを利用するときにアカウントを保護するために設定する「パスワード」は、決して使い回さないことが大切だと考えられています。パスワードの使い回しによって芋づる式にアカウントを乗っ取られる危険があるわけですが、「Pwned Passwords」は自分が使っているパスワードが過去のデータ侵害で悪用されたものと同一かどうかを判別してくれます。

Have I been pwned? Pwned Passwords
https://haveibeenpwned.com/Passwords

以前、自分のメールアドレスが何らかの形で漏洩したかどうかをチェックするサービス「Have I been pwned?(HIBP)」をMicrosoftのセキュリティ技術者のトロイ・ハント氏がリリースしました。

自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE

ハント氏はHIBPのサブコンテンツとして漏洩チェックのパスワード版「Pwned Passwords(V1)」もリリースしました。V1では漏洩したパスワードは約3億件がリストアップされていましたが、2018年2月にPwned Passwords V2にアップデートし、リスト化されたパスワードは50億件を突破したとのこと。何らかの形で漏洩したパスワードを使い回していると被害に遭う可能性があるため、早急にパスワード変更することが望ましいそうです。

ということで、Pwned Passwordsでパスワードの漏洩状況をチェックする方法は以下の通り。

Have I been pwned? Pwned Passwords
https://haveibeenpwned.com/Passwords

上記サイトのテキストフォームに調べたいパスワードを入力して、「pwned？」をクリック。

「Good news - no pwnage found！」と表示されれば、流出リストに載っていません。

「Oh no - pwned！」と表示された場合は、漏洩歴あり。すぐにパスワードを変更するべきだとのこと。なお、V2では漏洩リストに何回登場するかの回数も表示される様になったそうで、100回以上登場するようなパスワードは別のパスワードに強制的に変更すべきだとハント氏は述べています。

ちなみに、最悪なパスワードランキングで長年トップをひた走る「123456」を入力すると、履歴に2000万回以上もヒットすることがわかりました。

Pwned Passwords V2での改良点をハント氏は以下のブログで詳細に説明しています。なお、リスト化されたパスワードデータもトレントファイルとしてダウンロードできるようになっています。

Troy Hunt: I've Just Launched "Pwned Passwords" V2 With Half a Billion Passwords for Download
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/